Misure minime di sicurezza dell’internet banking

È considerata misura di sicurezza adeguata l’invio di un SMS al cliente di una banca ogni qual volta viene effettuata una operazione a debito sul suo conto corrente attraverso il servizio di e-banking.

Ai sensi dell’art. 31 del d.lgs. 196/2003 (la c.d. legge privacy), il titolare del trattamento (ovvero colui che si propone di raccogliere ed elaborare i dati personali di terzi per fini commerciali), al fine di prevenire accessi non autorizzati ai dati o ulteriori operazioni di trattamento illegittime, ha l’obbligo di adottare delle misure di sicurezza adeguate. Sebbene il codice non indichi specificamente quali siano le misure di sicurezza adeguate, stabilisce che queste debbano essere adottate «in relazione alle conoscenza acquisite in base al progresso tecnico».

Una definizione così vaga, consente al legislatore di non ancorare il dettato normativo ad una particolare tecnologia che potrebbe diventare obsoleta anche in breve tempo e, dall’altro, di imporre ai titolari di mantenere sempre alta la guardia e provvedere ad un costante aggiornamento delle proprie misure e procedure. Dovrà poi essere il giudice, di volta in volta chiamato a decidere un caso concreto, a stabilire se il titolare si sia o meno adeguato allo stato della tecnica.

Proprio così ha fatto il giudice di pace di Lecce il dicembre scorso (sentenza 97 del 15 gennaio 2014) allorché ha stabilito che costituisce misura minima di sicurezza l’invio di un messaggio di testo telefonico (SMS) al cliente per segnalargli tempestivamente il tipo di operazione effettuata sul suo conto corrente, e il relativo importo. La banca, citata in giudizio, non aveva adottato tale procedura ed è stata condannata al pagamento dell’intero importo sottratto dal conto corrente di un suo cliente ad opera di un terzo che, attraverso una richiesta e-mail camuffata da comunicazione ufficiale della banca stessa, aveva chiesto e ottenuto le chiavi di accesso al servizio di e-banking.

Benché l’utente fosse stato poco avveduto, tale truffa – peraltro assai comune – non avrebbe dato alcun frutto se dopo l’operazione bancaria il titolare del conto fosse stato avvertito.

A fondamento della sua decisione, il giudice ha correttamente non solo considerato il fatto che nell’ambito dei servizi di e-banking è assai avvertita l’esigenza di garantire agli utenti la massima riservatezza e protezione dei dati, ma ha anche valutato la frequenza delle truffe informatiche dovute a mancata custodia o appropriazione fraudolenta delle credenziali e ha altresì verificato i costi e l’efficacia della procedura di SMS nonché la prassi comune dalle altre banche.

Postilla. Similmente si è anche pronunciato l’Arbitro Bancario Finanziario con decisione del 7 marzo scorso (n. 0001363/14) con cui ha stabilito che, la mancata adozione da parte di una banca di un servizio di sms alert è indice di negligenza nell’esecuzione della prestazione oggetto del contratto per il servizio di home banking, mancando di svolgere tutte quelle attività strumentali che appaiano idonee a garantire l’interesse del cliente.

4 luglio 2014

(Francesco Rampone – f.rampone@lascalaw.com)

Print Friendly

Condividi su

Potrebbe interessarti anche

1. Il caso Nelle sentenze in commento, i giudici romani si sono espressi sull’applicazione dell...

Information Technology

La Corte di Appello di Milano conferma la condanna a Facebook per aver contraffatto una banca dati d...

Information Technology

Il Consiglio Nazionale del Notariato prende posizione in tema di pagamenti in bitcoin rispondendo al...

Information Technology